Mobilfunkverträge prüfen, Betrug verhindern.

Dies ist eine der wichtigen Bestimmungen im Entwurf eines Rundschreibens zur Überprüfung von Teilnehmerinformationen für terrestrische Mobilfunknummern, das das Ministerium für Wissenschaft und Technologie soeben zur öffentlichen Kommentierung freigegeben hat.

Mobiltelefonnummern, deren Angaben nicht verifiziert werden, werden voraussichtlich ab dem 1. März vorübergehend für ausgehende Anrufe gesperrt.

Mobilnummer mit Gesichtserkennung verknüpft.

In einem Gespräch mit der Zeitung Tuoi Tre erklärten die Mobilfunknetzbetreiber übereinstimmend, dass sie eine „Kampagne“ zur Bereinigung der Mobilfunkteilnehmerdaten durchführen, um diese mit der nationalen Bevölkerungsdatenbank abzugleichen und zu verifizieren.

Der Verifizierungsprozess muss sicherstellen, dass mindestens vier der angegebenen Informationen übereinstimmen – darunter die persönliche Identifikationsnummer; Nachname, zweiter Vorname und Vorname; Geburtsdatum; und biometrische Gesichtsdaten.

Im Einzelnen muss die biometrische Gesichtserkennung Genauigkeit gemäß internationalen Standards gewährleisten; sie muss in der Lage sein, Angriffe zur Fälschung biometrischer Informationen von Lebewesen auf der Grundlage internationaler Standards zu erkennen, um Betrug und Identitätsdiebstahl von Kunden durch Bilder, Videos und 3D-Masken zu verhindern; und die biometrischen Verifizierungsinformationen müssen den Zeitpunkt der Verifizierung für jede Teilnehmernummer anzeigen.

„Wir arbeiten eng mit den Abteilungen des Ministeriums für öffentliche Sicherheit und des Ministeriums für Wissenschaft und Technologie zusammen, um sicherzustellen, dass die Abonnentendaten mit der nationalen Bevölkerungsdatenbank übereinstimmen.“

„Gleichzeitig überprüfen und standardisieren wir die Abonnentendaten im gesamten Netzwerk, um die Einhaltung der Telekommunikationsvorschriften, des Datenschutzes und der Cybersicherheit zu gewährleisten“, informierte ein Vertreter von Vinaphone.

Gemäß dem ressortübergreifenden Koordinierungsplan erhalten die Nutzer auf Grundlage der korrekt mit der nationalen Bevölkerungsdatenbank abgeglichenen Teilnehmerdaten Benachrichtigungen über die nationale elektronische Identifizierungsanwendung VNeID über die Liste der unter ihrer persönlichen Identifikationsnummer registrierten Mobiltelefonnummern.

Nutzer sind selbst dafür verantwortlich, die VNeID-Anwendung aufzurufen, um die von ihnen direkt verwendeten Mobiltelefonnummern zu verifizieren und die Verifizierung für Nummern abzulehnen, die sie nicht nutzen oder die nicht unter ihrer Verwaltung stehen. Von Nutzern verifizierte Telefonnummern gelten gemäß den Bestimmungen als vollständig verifiziert.

Für besonders schutzbedürftige Gruppen in der Gesellschaft, wie ältere Menschen, Menschen, die keine Smartphones benutzen, Menschen in abgelegenen Gebieten und andere Fälle, die besondere Unterstützung erfordern, werden Telekommunikationsunternehmen mit den örtlichen Polizeikräften zusammenarbeiten, um eine direkte Unterstützung bei der Informationsüberprüfung in ihren Wohnungen zu organisieren.

„Wir hoffen, dass die Kunden proaktiv mitwirken und ihre Mobilfunkteilnehmerinformationen gemäß den Anweisungen der Behörden und Netzbetreiber umgehend überprüfen werden; damit tragen sie zum Aufbau eines sicheren, transparenten, gesunden und nachhaltigen Telekommunikationsumfelds bei…“, teilte ein Leiter eines Netzbetreibers der Zeitung Tuoi Tre mit.

Verhinderung des betrügerischen Gebrauchs von nicht registrierten SIM-Karten und „Junk“-SIM-Karten.

Viele Cybersicherheitsexperten schätzen die biometrische Authentifizierung für Mobilfunkkunden, ähnlich wie bei Bankkonten, insbesondere die erneute Authentifizierung, die jedes Mal erforderlich ist, wenn ein Nutzer das Gerät mit derselben SIM-Karte wechselt. Bisher wurde die biometrische Authentifizierung in der Regel nur einmal bei der Registrierung einer neuen SIM-Karte durchgeführt, und das System benötigte danach selten eine erneute Authentifizierung.

Dadurch entsteht eine häufig genutzte Sicherheitslücke: Nutzer können eine gültige SIM-Karte auf ihren Namen registrieren und sie anschließend unentdeckt weiterverkaufen oder an betrügerische Gruppen weitergeben. Aus diesem Grund sind selbst nach erfolgter Überprüfung weiterhin nicht registrierte und ungültige SIM-Karten im Umlauf.

Darüber hinaus waren die technischen Anforderungen an die biometrische Authentifizierung bisher nicht auf ein verbindliches Mindestniveau standardisiert. Jedes Telekommunikationsunternehmen wählte eine andere technologische Lösung und einen anderen Implementierungsprozess, was zu einer uneinheitlichen Authentifizierungsqualität führte. Daher hat sich die biometrische Authentifizierung nicht als ausreichend starke technische Barriere erwiesen, um ungültige SIM-Karten vollständig zu eliminieren.

Laut Herrn Vu Ngoc Son, Leiter der Abteilung Forschung, Beratung, Technologieentwicklung und Internationale Zusammenarbeit der National Cybersecurity Association (NCA), geht dieser Entwurf eines Rundschreibens genau auf diese Schwächen ein und enthält eine Reihe neuer, grundlegender Elemente.

Zunächst einmal ist die biometrische Authentifizierung keine einmalige Angelegenheit mehr, sondern mit risikoreichen Ereignissen während des gesamten Kundenlebenszyklus verknüpft, insbesondere beim Wechsel des Endgeräts.

„Die Regelung, die eine erneute Überprüfung in diesen Situationen vorschreibt, wird den Kauf und Verkauf von SIM-Karten nach der Überprüfung verhindern, was eine wichtige Quelle für betrügerische Aktivitäten darstellt“, sagte Herr Son und fügte hinzu, dass die erfolgreiche Anwendung der biometrischen Authentifizierung im Bankensektor zeige, dass bei der Kontrolle digitaler Identitäten Junk-Konten schnell eliminiert würden, wodurch die Zwischenkette unterbrochen werde, die Betrüger häufig ausnutzen.

Zusätzlich zur Verhinderung des Kaufs und Verkaufs von SIM-Karten nach erfolgter Authentifizierung stellt die Authentifizierungspflicht beim Gerätewechsel auch eine technische Hürde für Versuche dar, die SIM-Karten der Benutzer zu kapern.

Selbst wenn die Betrüger Zugriff auf die physische SIM-Karte oder persönliche Daten erlangen, können sie den Aktivierungsprozess nicht abschließen, ohne eine biometrische Authentifizierung zu bestehen, die mit den Originaldaten übereinstimmt.

„Dies ist ein Mechanismus zur ‚festen Sperrung‘ der Identität, ähnlich den mehrschichtigen Schutzmaßnahmen, die Banken zum Schutz von Konten mit hohem Wert anwenden“, sagte Herr Son.